Можно ли попасть в контейнер докера без разрешения root хоста, когда для запуска докеру требуется sudo?

Guan

27.12.2022, 10:40

Насколько мне известно, люди обычно открывают группу докеров для обычных пользователей, поэтому у них может быть отдельная среда, чтобы делать практически все, что угодно, без разрешения root хоста.

Но если команду docker нужно запустить судо, нравиться sudo docker exec -it КОНТЕЙНЕР /bin/bash , это хороший способ скрыть информацию, например, исходный код в контейнере?

Мой вопрос, если быть более конкретным, если судо необходимо запустить докер, можно ли увидеть, что находится внутри контейнера, или даже получить к нему доступ без разрешения root?

624

1 + 0

сервер

безопасность

Рейтинг:1

Ubuntu

Artur Meinild

27.12.2022, 10:54

Нет необходимости запускать Docker от имени пользователя root.

Докер имеет "безродный" режим, что позволяет запускать контейнеры Docker в пользовательском пространстве. Однако существуют некоторые ограничения для этого режима работы, перечисленные в связанной документации. В этом режиме рассматриваемый пользователь имеет полный доступ к контейнерам и их содержимому.

Однако у меня лично нет опыта работы с Docker в режиме без рута.

Если вы хотите запустить Docker как общесистемную службу, вам потребуется корень доступ или членство в докер группа. В этом режиме вы можете запустить следующую команду (как член докер group — на примере nginx и при условии бить находится в контейнере):

docker exec -it nginx /bin/bash

Вы попадаете в терминал контейнера (под root):

root@e209bdb1fe51:/#

Таким образом, даже если вы не являетесь пользователем root на локальной машине (но являетесь членом докер group), вы будете root внутри контейнера.

0 + 2

Guan

27.12.2022, 13:55

Спасибо за ответ, извините за непонятные слова. Я имею в виду, что для пользователя, не входящего в группу докеров, и у него нет прав root, могут ли они по-прежнему попасть в контейнер? Чтобы быть более конкретным, если команда docker может запускаться только с помощью `sudo docker ...`, люди все еще могут получить доступ к контейнеру без root?

Ответить

user535733

27.12.2022, 14:27

Пожалуйста, отредактируйте исходный вопрос, чтобы четко сформулировать вопрос, на который вы хотите получить ответ.

Ответить

Admin

Этот вопрос на других языках:

EN: Is it possible to get in docker container without root permission of host, when docker needs sudo to run?

TH: เป็นไปได้ไหมที่จะเข้าไปในคอนเทนเนอร์นักเทียบท่าโดยไม่ได้รับอนุญาตจากโฮสต์เมื่อนักเทียบท่าต้องการให้ sudo ทำงาน

RO: Este posibil să intrați în containerul docker fără permisiunea rădăcină a gazdei, când docker are nevoie de sudo pentru a rula?

RU: Можно ли попасть в контейнер докера без разрешения root хоста, когда для запуска докеру требуется sudo?

VI: Có thể truy cập bộ chứa docker mà không có quyền root của máy chủ lưu trữ không, khi docker cần sudo để chạy?

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.